Entornos de virtualización de Google Cloud
Citrix DaaS (antes, Citrix Virtual Apps and Desktops Service) le permite aprovisionar y administrar máquinas en Google Cloud.
Requisitos previos
Antes de empezar a aprovisionar las máquinas virtuales en Google Cloud Platform (GCP), debe asegurarse de que se cumplen los siguientes requisitos previos.
- La suscripción a Citrix debe incluir compatibilidad con cargas de trabajo multinube híbridas. Para obtener más información, consulte la comparativa de funciones en las suscripciones a Citrix.
- La cuenta de administrador debe tener los permisos suficientes para crear conexiones de host, catálogos de máquinas y grupos de entrega. Para obtener más información, consulte Configurar la administración delegada.
- Identifique un proyecto de Google Cloud en el que se almacenen todos los recursos informáticos asociados al catálogo de máquinas. Puede ser un proyecto existente o uno nuevo. Para obtener más información, consulte Proyectos de Google Cloud.
- Habilite las API de Google Cloud necesarias para la integración con Citrix DaaS. Para obtener más información, consulte Habilitar las API de Google Cloud.
- Cree las cuentas de servicio en Google Cloud y conceda los permisos correspondientes. Para obtener más información, consulte Configurar y actualizar cuentas de servicio.
- Descargue el archivo de claves de la cuenta de servicio de Citrix Cloud. Para obtener más información, consulte Clave de cuenta de Citrix Cloud Service.
- Las máquinas virtuales deben tener acceso a las API de Google sin una dirección IP pública. Para obtener más información, consulte Habilitar el acceso privado a Google.
Proyectos de Google Cloud
Existen básicamente dos tipos de proyectos de Google Cloud:
- Proyecto de Provisioning: En este caso, la cuenta de administrador actual es propietaria de las máquinas aprovisionadas del proyecto. Este tipo de proyecto se conoce también como proyecto local.
- Proyecto de nube privada virtual (VPC) compartida: Proyecto en el que las máquinas creadas en el proyecto de aprovisionamiento utilizan la VPC del proyecto de VPC compartida. La cuenta de administrador utilizada para los proyectos de aprovisionamiento tiene permisos limitados en este proyecto, específicamente, solo permisos para usar la nube VPC.
URL de dispositivo de punto final del servicio
Debe tener acceso a las siguientes URL:
https://oauth2.googleapis.com
https://cloudresourcemanager.googleapis.com
https://compute.googleapis.com
https://storage.googleapis.com
https://cloudbuild.googleapis.com
Habilitar las API de Google Cloud
Para usar la funcionalidad de Google Cloud a través de Studio, habilite estas API en su proyecto de Google Cloud:
- API de Compute Engine
- API de Cloud Resource Manager
- API de Identity and Access Management (IAM)
- API de Cloud Build
En la consola de Google Cloud, siga estos pasos:
- En el menú superior izquierdo, seleccione APIs and Services > Enabled APIs & services.
-
En la pantalla Enabled APIs & services, compruebe que la API de Compute Engine esté habilitada. Si no es el caso, siga estos pasos:
- Vaya a APIs and Services > Library.
- En el cuadro de búsqueda, escriba Compute Engine.
- En los resultados de la búsqueda, seleccione Compute Engine API.
- En la página Compute Engine API, seleccione Enable.
- Habilite la API de Cloud Resource Manager.
- Vaya a APIs and Services > Library.
- En el cuadro de búsqueda, escriba Cloud Resource Manager.
- En los resultados de búsqueda, seleccione Cloud Resource Manager API.
- En la página Cloud Resource Manager API, seleccione Enable. Aparece el estado de la API.
- Del mismo modo, habilite la API de Identity and Access Management (IAM), la API de Cloud Build y la API de Cloud Key Management Service (KMS).
También puede usar Google Cloud Shell para habilitar las API. Para hacerlo:
- Abra la consola de Google y cargue Cloud Shell.
-
Ejecute estos cuatro comandos en Cloud Shell:
- gcloud services enable compute.googleapis.com
- gcloud services enable cloudresourcemanager.googleapis.com
- gcloud services enable iam.googleapis.com
- gcloud services enable cloudbuild.googleapis.com
- gcloud services enable cloudkms.googleapis.com
- Haga clic en Authorize cuando Cloud Shell se lo indique.
Configurar y actualizar cuentas de servicio
Nota:
GCP presentará cambios en el comportamiento predeterminado de los servicios de Cloud Build y en el uso de las cuentas de servicio a partir del 29 de abril de 2024. Para obtener más información, consulte Cambio de la cuenta de servicio de Cloud Build. Los proyectos de Google existentes con la API de Cloud Build habilitada antes del 29 de abril de 2024 no se ven afectados por este cambio. No obstante, si quiere mantener el comportamiento actual del servicio de Cloud Build a partir del 29 de abril, puede crear o aplicar una directiva de organización para inhabilitar la aplicación de restricciones antes de habilitar la API de Cloud Build. Como resultado, el siguiente contenido se divide en dos: Antes del 29 de abril de 2024 y A partir del 29 de abril de 2024. Si establece la nueva directiva de la organización, vaya a la sección Antes del 29 de abril de 2024.
Antes del 29 de abril de 2024
Citrix Cloud usa tres cuentas de servicio independientes en el proyecto de Google Cloud:
-
Cuenta de servicio de Citrix Cloud: Esta cuenta de servicio permite a Citrix Cloud acceder al proyecto de Google y aprovisionar y administrar máquinas. Esta cuenta de servicio se autentica en Google Cloud mediante una clave generada por Google Cloud.
Debe crear esta cuenta de servicio manualmente, tal y como se describe aquí. Para obtener más información, consulte Crear una cuenta de Citrix Cloud Service.
Puede identificar esta cuenta de servicio con una dirección de correo electrónico. Por ejemplo,
<my-service-account>@<project-id>.iam.gserviceaccount.com
. -
Cuenta de servicio de Cloud Build: Esta cuenta de servicio se aprovisiona automáticamente después de habilitar todas las API mencionadas en Habilitar las API de Google Cloud. Para ver todas las cuentas de servicio creadas automáticamente, vaya a IAM y Admin > IAM en la consola de Google Cloud y seleccione la casilla de verificación Incluir asignaciones de funciones proporcionadas por Google.
Puede identificar esta cuenta de servicio mediante una dirección de correo electrónico que comience por el ID del proyecto y la palabra cloudbuild. Por ejemplo,
<project-id>@cloudbuild.gserviceaccount.com
Verifique si a la cuenta de servicio se le han concedido los siguientes roles. Si debe agregar roles, siga los pasos descritos en Agregar roles a la cuenta de servicio de Cloud Build.
- Cuenta de servicio de Cloud Build
- Administrador de instancias de proceso
- Usuario de cuenta de servicio
-
Cuenta de servicio de Cloud Compute: Google Cloud agrega esta cuenta de servicio a las instancias creadas en Google Cloud una vez que se activa la API de Compute. Esta cuenta tiene el rol de editor básico de IAM para realizar las operaciones. Sin embargo, si elimina el permiso predeterminado para tener un control más granular, deberá agregar el rol Administrador de almacenamiento que requiere los siguientes permisos:
- resourcemanager.projects.get
- storage.objects.create
- storage.objects.get
- storage.objects.list
Puede identificar esta cuenta de servicio mediante una dirección de correo electrónico que comience por el ID del proyecto y la palabra compute. Por ejemplo, <project-id>-compute@developer.gserviceaccount.com
.
Crear una cuenta de servicio de Citrix Cloud
Para crear una cuenta de servicio de Citrix Cloud, siga estos pasos:
- En la consola de Google Cloud, vaya a IAM & Admin > Service accounts.
- En la página Service accounts, seleccione CREATE SERVICE ACCOUNT.
- En la página Create service account, introduzca la información necesaria y, a continuación, seleccione CREATE AND CONTINUE.
-
En la página Grant this service account access to project, haga clic en el menú desplegable Select a role y seleccione los roles necesarios. Haga clic en +ADD ANOTHER ROLE si quiere agregar más roles.
Cada cuenta (personal o de servicio) tiene varios roles que definen la gestión del proyecto. Otorgue estos roles a esta cuenta de servicio:
- Administrador de procesos
- Administrador de almacenamiento
- Editor de compilaciones en la nube
- Usuario de cuenta de servicio
- Usuario de almacén de datos en la nube
- Operador criptográfico de Cloud KMS
El operador criptográfico de Cloud KMS requiere los siguientes permisos:
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.get
- cloudkms.keyRings.list
Nota:
Habilite todas las API para obtener la lista completa de roles disponibles al crear una cuenta de servicio.
- Haga clic en CONTINUE
- En la página Grant users access to this service account, agregue usuarios o grupos para permitirles realizar acciones en esta cuenta de servicio.
- Haga clic en DONE.
- Vaya a la consola principal de IAM.
- Identifique la cuenta de servicio creada.
- Compruebe que los roles se hayan asignado correctamente.
Consideraciones:
Al crear la cuenta de servicio, tenga en cuenta lo siguiente:
- Los pasos Grant this service account access to project y Grant users access to this service account son opcionales. Si opta por omitir estos pasos de configuración opcionales, la cuenta de servicio recién creada no se mostrará en la página IAM & Admin > IAM.
- Para mostrar los roles asociados a una cuenta de servicio, agregue los roles sin omitir los pasos opcionales. Este proceso garantiza que aparezcan roles para la cuenta de servicio configurada.
Clave de la cuenta de servicio de Citrix Cloud
La clave de la cuenta de Citrix Cloud Service es necesaria para crear una conexión en Citrix DaaS. La clave se halla en un archivo de credenciales (JSON). El archivo se descarga automáticamente y se guarda en la carpeta Descargas después de crear la clave. Al crear la clave, establezca el tipo de clave en JSON. De lo contrario, Studio no podrá analizarla.
Para crear una clave de cuenta de servicio, vaya a IAM y Admin > Cuentas de servicio y haga clic en la dirección de correo electrónico de la cuenta de servicio de Citrix Cloud. Cambie a la ficha Teclas y seleccione Agregar clave > Crear nueva clave. Asegúrese de seleccionar JSON como tipo de clave.
Sugerencia:
Cree claves mediante la página Service accounts de la consola de Google Cloud. Le recomendamos cambiar las claves con frecuencia por motivos de seguridad. Para proporcionar claves nuevas a la aplicación de Citrix Virtual Apps and Desktops, modifique una conexión de Google Cloud existente.
Agregar roles a la cuenta de servicio de Citrix Cloud
Para agregar roles a la cuenta de servicio de Citrix Cloud:
- En la consola de Google Cloud, vaya a IAM & Admin > IAM.
-
En la página IAM > PERMISSIONS, busque la cuenta de servicio que creó, identificable con una dirección de correo electrónico.
Por ejemplo,
<my-service-account>@<project-id>.iam.gserviceaccount.com
- Seleccione el icono del lápiz para modificar el acceso a la entidad principal de la cuenta de servicio.
- En la página Edit access to “project-id” para la opción de la entidad principal seleccionada, seleccione ADD ANOTHER ROLE para agregar los roles necesarios a su cuenta de servicio uno por uno y, a continuación, seleccione SAVE.
Agregar roles a la cuenta de servicio de Cloud Build
Para agregar roles a la cuenta de servicio de Cloud Build:
- En la consola de Google Cloud, vaya a IAM & Admin > IAM.
-
En la página IAM, busque la cuenta de servicio de Cloud Build, identificable con una dirección de correo electrónico que comience por el ID del proyecto y la palabra cloudbuild.
Por ejemplo,
<project-id>@cloudbuild.gserviceaccount.com
- Seleccione el icono del lápiz para modificar los roles de la cuenta de Cloud Build.
-
En la página Edit access to “project-id” para la opción de la entidad principal seleccionada, seleccione ADD ANOTHER ROLE para agregar los roles necesarios a su cuenta de servicio de Cloud Build uno por uno y, a continuación, seleccione SAVE.
Nota:
Habilite todas las API para obtener la lista completa de roles.
A partir del 29 de abril de 2024
Citrix Cloud usa dos cuentas de servicio independientes en el proyecto de Google Cloud:
-
Cuenta de servicio de Citrix Cloud: Esta cuenta de servicio permite a Citrix Cloud acceder al proyecto de Google y aprovisionar y administrar máquinas. Esta cuenta de servicio se autentica en Google Cloud mediante una clave generada por Google Cloud.
Debe crear esta cuenta de servicio manualmente.
Puede identificar esta cuenta de servicio con una dirección de correo electrónico. Por ejemplo,
<my-service-account>@<project-id>.iam.gserviceaccount.com
. -
Cuenta de servicio de Cloud Compute: Esta cuenta de servicio se aprovisiona automáticamente después de habilitar todas las API mencionadas en Habilitar las API de Google Cloud. Para ver todas las cuentas de servicio creadas automáticamente, vaya a IAM y Admin > IAM en la consola de Google Cloud y seleccione la casilla de verificación Incluir asignaciones de funciones proporcionadas por Google. Esta cuenta tiene el rol de editor básico de IAM para realizar las operaciones. Sin embargo, si elimina el permiso predeterminado para tener un control más granular, deberá agregar el rol Administrador de almacenamiento que requiere los siguientes permisos:
- resourcemanager.projects.get
- storage.objects.create
- storage.objects.get
- storage.objects.list
Puede identificar esta cuenta de servicio mediante una dirección de correo electrónico que comience por el ID del proyecto y la palabra compute. Por ejemplo,
<project-id>-compute@developer.gserviceaccount.com.
Verifique si a la cuenta de servicio se le han concedido los siguientes roles.
- Cuenta de servicio de Cloud Build
- Administrador de instancias de proceso
- Usuario de cuenta de servicio
Crear una cuenta de servicio de Citrix Cloud
Para crear una cuenta de servicio de Citrix Cloud, siga estos pasos:
- En la consola de Google Cloud, vaya a IAM & Admin > Service accounts.
- En la página Service accounts, seleccione CREATE SERVICE ACCOUNT.
- En la página Create service account, introduzca la información necesaria y, a continuación, seleccione CREATE AND CONTINUE.
-
En la página Grant this service account access to project, haga clic en el menú desplegable Select a role y seleccione los roles necesarios. Haga clic en +ADD ANOTHER ROLE si quiere agregar más roles.
Cada cuenta (personal o de servicio) tiene varios roles que definen la gestión del proyecto. Otorgue estos roles a esta cuenta de servicio:
- Administrador de procesos
- Administrador de almacenamiento
- Editor de compilaciones en la nube
- Usuario de cuenta de servicio
- Usuario de almacén de datos en la nube
- Operador criptográfico de Cloud KMS
El operador criptográfico de Cloud KMS requiere los siguientes permisos:
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.get
- cloudkms.keyRings.list
Nota:
Habilite todas las API para obtener la lista completa de roles disponibles al crear una cuenta de servicio.
- Haga clic en CONTINUE
- En la página Grant users access to this service account, agregue usuarios o grupos para permitirles realizar acciones en esta cuenta de servicio.
- Haga clic en DONE.
- Vaya a la consola principal de IAM.
- Identifique la cuenta de servicio creada.
- Compruebe que los roles se hayan asignado correctamente.
Consideraciones:
Al crear la cuenta de servicio, tenga en cuenta lo siguiente:
- Los pasos Grant this service account access to project y Grant users access to this service account son opcionales. Si opta por omitir estos pasos de configuración opcionales, la cuenta de servicio recién creada no se mostrará en la página IAM & Admin > IAM.
- Para mostrar los roles asociados a una cuenta de servicio, agregue los roles sin omitir los pasos opcionales. Este proceso garantiza que aparezcan roles para la cuenta de servicio configurada.
Clave de la cuenta de servicio de Citrix Cloud
La clave de la cuenta de Citrix Cloud Service es necesaria para crear una conexión en Citrix DaaS. La clave se halla en un archivo de credenciales (JSON). El archivo se descarga automáticamente y se guarda en la carpeta Descargas después de crear la clave. Al crear la clave, establezca el tipo de clave en JSON. De lo contrario, Studio no podrá analizarla.
Para crear una clave de cuenta de servicio, vaya a IAM y Admin > Cuentas de servicio y haga clic en la dirección de correo electrónico de la cuenta de servicio de Citrix Cloud. Cambie a la ficha Teclas y seleccione Agregar clave > Crear nueva clave. Asegúrese de seleccionar JSON como tipo de clave.
Sugerencia:
Cree claves mediante la página Service accounts de la consola de Google Cloud. Le recomendamos cambiar las claves con frecuencia por motivos de seguridad. Para proporcionar claves nuevas a la aplicación de Citrix Virtual Apps and Desktops, modifique una conexión de Google Cloud existente.
Agregar roles a la cuenta de servicio de Citrix Cloud
Para agregar roles a la cuenta de servicio de Citrix Cloud:
- En la consola de Google Cloud, vaya a IAM & Admin > IAM.
-
En la página IAM > PERMISSIONS, busque la cuenta de servicio que creó, identificable con una dirección de correo electrónico.
Por ejemplo,
<my-service-account>@<project-id>.iam.gserviceaccount.com
- Seleccione el icono del lápiz para modificar el acceso a la entidad principal de la cuenta de servicio.
- En la página Edit access to “project-id” para la opción de la entidad principal seleccionada, seleccione ADD ANOTHER ROLE para agregar los roles necesarios a su cuenta de servicio uno por uno y, a continuación, seleccione SAVE.
Agregar roles a la cuenta de servicio de Cloud Compute
Para agregar roles a la cuenta de servicio de Cloud Compute:
- En la consola de Google Cloud, vaya a IAM & Admin > IAM.
-
En la página IAM, busque la cuenta de servicio de Cloud Compute, identificable con una dirección de correo electrónico que comience por el ID del proyecto y la palabra compute.
Por ejemplo,
<project-id>-compute@developer.gserviceaccount.com
- Seleccione el icono del lápiz para modificar los roles de la cuenta de Cloud Build.
-
En la página Edit access to “project-id” para la opción de la entidad principal seleccionada, seleccione ADD ANOTHER ROLE para agregar los roles necesarios a su cuenta de servicio de Cloud Build uno por uno y, a continuación, seleccione SAVE.
Nota:
Habilite todas las API para obtener la lista completa de roles.
Permisos de almacenamiento y administración de depósitos
Citrix DaaS mejora el proceso de notificación de errores de compilación en la nube para el servicio de Google Cloud. Este servicio ejecuta compilaciones en Google Cloud. Citrix DaaS crea un depósito de almacenamiento denominado citrix-mcs-cloud-build-logs-{region}-{5 random characters}
donde los servicios de Google Cloud capturan la información del registro de compilación. Se establece una opción en este depósito que elimina el contenido tras un período de 30 días. Este proceso requiere que la cuenta de servicio utilizada para la conexión tenga establecidos los permisos storage.buckets.update
en Google Cloud. Si la cuenta de servicio no tiene este permiso, Citrix DaaS ignora los errores y continúa con el proceso de creación del catálogo. Sin este permiso, el tamaño de los registros de compilación aumenta y se requiere una limpieza manual.
Habilitar el acceso privado a Google
Cuando una máquina virtual carece de una dirección IP externa asignada a su interfaz de red, los paquetes solo se envían a otros destinos de direcciones IP internas. Cuando habilita el acceso privado, la máquina virtual se conecta al conjunto de direcciones IP externas utilizadas por la API de Google y los servicios asociados.
Nota:
Independientemente de si el acceso privado a Google está habilitado, todas las máquinas virtuales con y sin direcciones IP públicas deben poder acceder a las API públicas de Google, especialmente si se han instalado dispositivos de red de terceros en el entorno.
Para asegurarse de que una máquina virtual de la subred pueda acceder a las API de Google sin una dirección IP pública para el aprovisionamiento de MCS:
- En Google Cloud, acceda a la configuración de red de VPC.
- Identifique las subredes usadas o el entorno de Citrix en la ficha Subredes del proyecto actual.
- Haga clic en el nombre de las subredes y habilite el Acceso privado a Google.
Para obtener más información, consulte Configura el Acceso privado a Google.
Importante:
Si la red está configurada para impedir el acceso de la máquina virtual a Internet, asegúrese de que su organización asume los riesgos asociados con la habilitación del acceso privado a Google para la subred a la que está conectada la máquina virtual.
Qué hacer a continuación
- Para una implementación sencilla de prueba de concepto, instale un VDA en una máquina designada para entregar aplicaciones o un escritorio a los usuarios.
- Para crear y administrar conexiones, consulte Conexión con entornos de Google Cloud.
- Revisar todos los pasos del proceso de instalación y configuración.
Más información
En este artículo
- Requisitos previos
- Proyectos de Google Cloud
- URL de dispositivo de punto final del servicio
- Habilitar las API de Google Cloud
- Configurar y actualizar cuentas de servicio
- Permisos de almacenamiento y administración de depósitos
- Habilitar el acceso privado a Google
- Qué hacer a continuación
- Más información